보안 식별자

적용 대상

  • Windows 10
  • Windows 11
  • Windows Server 2016
  • Windows Server 2019

IT 전문가를 위한 이 항목에서는 보안 식별자 및 Windows 운영 체제의 계정 및 그룹과 관련하여 보안 식별자가 작동하는 방식에 대해 설명합니다.

보안 식별자란?

SID(보안 식별자)는 보안 주체 또는 보안 그룹을 고유하게 식별하는 데 사용됩니다. 보안 주체는 사용자 계정, 컴퓨터 계정 또는 사용자 또는 컴퓨터 계정의 보안 컨텍스트에서 실행되는 스레드 또는 프로세스와 같이 운영 체제에서 인증할 수 있는 모든 엔터티를 나타낼 수 있습니다.

계정의 보안 컨텍스트에서 실행되는 각 계정 또는 그룹 또는 프로세스에는 Windows 도메인 컨트롤러와 같이 기관에서 발급한 고유한 SID가 있습니다. 보안 데이터베이스에 저장됩니다. 시스템은 계정 또는 그룹을 만들 때 특정 계정 또는 그룹을 식별하는 SID를 생성합니다. SID가 사용자 또는 그룹의 고유 식별자로 사용된 경우 다른 사용자 또는 그룹을 식별하는 데 다시 사용할 수 없습니다.

사용자가 로그인할 때마다 시스템은 해당 사용자에 대한 액세스 토큰을 만듭니다. 액세스 토큰에는 사용자의 SID, 사용자 권한 및 사용자가 속한 모든 그룹에 대한 SID가 포함됩니다. 이 토큰은 사용자가 해당 컴퓨터에서 수행하는 모든 작업에 대한 보안 컨텍스트를 제공합니다.

특정 사용자 및 그룹에 할당된 고유하게 생성된 도메인별 SID 외에도 제네릭 그룹 및 제네릭 사용자를 식별하는 잘 알려진 SID가 있습니다. 예를 들어 Everyone 및 World SID는 모든 사용자를 포함하는 그룹을 식별합니다. 잘 알려진 SID에는 모든 운영 체제에서 일정하게 유지되는 값이 있습니다.

SID는 Windows 보안 모델의 기본 구성 요소입니다. Windows Server 운영 체제의 보안 인프라에서 권한 부여 및 액세스 제어 기술의 특정 구성 요소와 함께 작동합니다. 이렇게 하면 네트워크 리소스에 대한 액세스를 보호하고 보다 안전한 컴퓨팅 환경을 제공합니다.

이 항목의 내용은 이 항목의 시작 부분에 있는 적용 대상 목록에 지정된 대로 지원되는 버전의 Windows 운영 체제를 실행하는 컴퓨터에 적용됩니다.

보안 식별자의 작동 방식

사용자는 계정 이름을 사용하여 계정을 참조하지만 운영 체제는 내부적으로 SID(보안 식별자)를 사용하여 계정의 보안 컨텍스트에서 실행되는 계정 및 프로세스를 참조합니다. 도메인 계정의 경우 보안 주체의 SID는 도메인의 SID를 계정에 대한 RID(상대 식별자)와 연결하여 만듭니다. SID는 해당 범위(도메인 또는 로컬) 내에서 고유하며 다시 사용되지 않습니다.

운영 체제는 계정 또는 그룹을 만들 때 특정 계정 또는 그룹을 식별하는 SID를 생성합니다. 로컬 계정 또는 그룹의 SID는 컴퓨터의 LSA(로컬 보안 기관)에 의해 생성되며 레지스트리의 보안 영역에 다른 계정 정보와 함께 저장됩니다. 도메인 계정 또는 그룹의 SID는 도메인 보안 기관에서 생성되며 Active Directory Domain Services User 또는 Group 개체의 특성으로 저장됩니다.

모든 로컬 계정 및 그룹에 대해 SID는 생성된 컴퓨터에 대해 고유합니다. 컴퓨터의 두 계정 또는 그룹이 동일한 SID를 공유하지 않습니다. 마찬가지로 모든 도메인 계정 및 그룹에 대해 SID는 엔터프라이즈 내에서 고유합니다. 즉, 한 도메인에서 만든 계정 또는 그룹의 SID는 엔터프라이즈의 다른 도메인에서 만든 계정 또는 그룹의 SID와 일치하지 않습니다.

SID는 항상 고유하게 유지됩니다. 보안 당국은 동일한 SID를 두 번 발급하지 않으며 삭제된 계정에 SID를 다시 사용하지 않습니다. 예를 들어 Windows 도메인에 사용자 계정을 가진 사용자가 작업을 떠나는 경우 관리자는 계정을 식별하는 SID를 포함하여 Active Directory 계정을 삭제합니다. 나중에 같은 회사에서 다른 작업으로 돌아오면 관리자가 새 계정을 만들고 Windows Server 운영 체제에서 새 SID를 생성합니다. 새 SID가 이전 SID와 일치하지 않습니다. 따라서 이전 계정에서 사용자의 액세스 권한이 새 계정으로 전송되지 않습니다. 그녀의 두 계정은 완전히 다른 두 보안 주체를 나타냅니다.

보안 식별자 아키텍처

보안 식별자는 가변 수의 값을 포함하는 이진 형식의 데이터 구조입니다. 구조체의 첫 번째 값에는 SID 구조에 대한 정보가 포함됩니다. 나머지 값은 계층 구조(전화 번호와 유사)로 정렬되며 SID 발급 기관(예: "NT 기관"), SID 발급 도메인 및 특정 보안 주체 또는 그룹을 식별합니다. 다음 이미지는 SID의 구조를 보여 줍니다.

보안 식별자 아키텍처.

SID의 개별 값은 다음 표에 설명되어 있습니다.

설명 설명
수정 특정 SID에 사용되는 SID 구조의 버전을 나타냅니다.
식별자 기관 특정 유형의 보안 주체에 대해 SID를 발급할 수 있는 최고 수준의 권한을 식별합니다. 예를 들어 모든 사용자 그룹에 대한 SID의 식별자 권한 값은 1(세계 기관)입니다. 특정 Windows 서버 계정 또는 그룹에 대한 SID의 식별자 기관 값은 5(NT 기관)입니다.
하위 인증 >하나 이상의 하위 인증 값에 포함된 SID에서 가장 중요한 정보를 보유합니다. 시리즈의 마지막 값은 포함할 수 없지만 모든 값은 엔터프라이즈의 도메인을 총체적으로 식별합니다. 시리즈의 이 부분을 도메인 식별자라고 합니다. RID(상대 식별자)라고 하는 계열의 마지막 값은 도메인을 기준으로 특정 계정 또는 그룹을 식별합니다.

SID의 구성 요소는 표준 표기법을 사용하여 SID를 이진 형식에서 문자열 형식으로 변환할 때 시각화하기 쉽습니다.

S-R-X-Y1-Y2-Yn-1-Yn

이 표기법에서 SID의 구성 요소는 다음 표와 같이 표시됩니다.

설명 설명
S 문자열이 SID임을 나타냅니다.
R 수정 수준 표시
X 식별자 기관 값을 나타냅니다.
Y 일련의 하위 인증 값을 나타냅니다. 여기서 n 은 값의 수입니다.

SID의 가장 중요한 정보는 일련의 하위 인증 값에 포함됩니다. 시리즈의 첫 번째 부분(-Y1-Y2-Yn-1)은** 도메인 식별자입니다. 도메인 식별자는 한 도메인에서 발급한 SID를 엔터프라이즈의 다른 모든 도메인에서 발급한 SID와 구분하므로 SID의 이 요소는 여러 도메인이 있는 엔터프라이즈에서 중요합니다. 엔터프라이즈의 두 도메인이 동일한 도메인 식별자를 공유하지 않습니다.

일련의 하위 인증 값(-Yn)의 마지막 항목은 상대 식별자입니다. 하나의 계정 또는 그룹을 도메인의 다른 모든 계정 및 그룹과 구분합니다. 도메인의 두 계정 또는 그룹이 동일한 상대 식별자를 공유하지 않습니다.

예를 들어 기본 제공 Administrators 그룹의 SID는 다음 문자열로 표준화된 SID 표기법으로 표시됩니다.

S-1-5-32-544

이 SID에는 다음과 같은 네 가지 구성 요소가 있습니다.

  • 수정 수준(1)

  • 식별자 기관 값(5, NT 기관)

  • 도메인 식별자(32, Builtin)

  • 상대 식별자(544, 관리자)

기본 제공 계정 및 그룹에 대한 SID에는 항상 동일한 도메인 식별자 값인 32가 있습니다. 이 값은 Windows Server 운영 체제 버전을 실행하는 모든 컴퓨터에 존재하는 도메인 Builtin을 식별합니다. 한 컴퓨터의 기본 제공 계정 및 그룹을 다른 컴퓨터의 기본 제공 계정 및 그룹과 구분할 필요는 없습니다. 범위가 로컬이기 때문입니다. 단일 컴퓨터에 로컬이거나 네트워크 도메인에 대한 도메인 컨트롤러의 경우 하나의 역할을 하는 여러 컴퓨터에 로컬입니다.

기본 제공 계정 및 그룹은 기본 제공 도메인 범위 내에서 서로 구별되어야 합니다. 따라서 각 계정 및 그룹에 대한 SID에는 고유한 상대 식별자가 있습니다. 상대 식별자 값 544는 기본 제공 Administrators 그룹에 고유합니다. Builtin 도메인의 다른 계정 또는 그룹에 최종 값이 544인 SID가 없습니다.

또 다른 예제에서는 전역 그룹인 Domain Admins에 대한 SID를 고려합니다. 엔터프라이즈의 모든 도메인에는 Domain Admins 그룹이 있고 각 그룹의 SID는 다릅니다. 다음 예제에서는 Contoso, Ltd. 도메인(Contoso\Domain Admins)의 Domain Admins 그룹에 대한 SID를 나타냅니다.

S-1-5-21-1004336348-1177238915-682003330-512

Contoso\Domain Admins용 SID에는 다음이 있습니다.

  • 수정 수준(1)

  • 식별자 기관(5, NT 기관)

  • 도메인 식별자(21-1004336348-1177238915-682003330, Contoso)

  • 상대 식별자(512, Domain Admins)

Contoso\Domain Admins용 SID는 도메인 식별자 21-1004336348-1177238915-682003330으로 동일한 엔터프라이즈의 다른 도메인 관리자 그룹에 대한 SID와 구별됩니다. 엔터프라이즈의 다른 도메인은 이 값을 해당 도메인 식별자로 사용하지 않습니다. Contoso\Domain Admins용 SID는 Contoso 도메인에서 상대 식별자 512에 의해 만들어진 다른 계정 및 그룹의 SID와 구별됩니다. 도메인에 최종 값이 512인 SID가 있는 다른 계정이나 그룹은 없습니다.

상대 식별자 할당

계정 및 그룹이 SAM(로컬 보안 계정 관리자)에서 관리하는 계정 데이터베이스에 저장되는 경우 시스템에서는 독립 실행형 컴퓨터에서 만드는 각 계정 및 그룹에 대해 고유한 상대 식별자를 쉽게 생성할 수 있습니다. 독립 실행형 컴퓨터의 SAM은 이전에 사용한 상대 식별자 값을 추적하고 다시는 사용하지 않도록 할 수 있습니다.

그러나 네트워크 도메인에서 고유한 상대 식별자를 생성하는 것은 더 복잡한 프로세스입니다. Windows 서버 네트워크 도메인에는 여러 도메인 컨트롤러가 있을 수 있습니다. 각 도메인 컨트롤러는 Active Directory 계정 정보를 저장합니다. 즉, 네트워크 도메인에는 도메인 컨트롤러가 있는 만큼 계정 데이터베이스의 복사본이 있습니다. 이 외에도 계정 데이터베이스의 모든 복사본은 마스터 복사본입니다. 모든 도메인 컨트롤러에서 새 계정 및 그룹을 만들 수 있습니다. 한 도메인 컨트롤러의 Active Directory에 대한 변경 내용은 도메인의 다른 모든 도메인 컨트롤러에 복제됩니다. 계정 데이터베이스의 한 마스터 복사본에서 변경 내용을 다른 모든 마스터 복사본으로 복제하는 프로세스를 다중 마스터 작업이라고 합니다.

고유한 상대 식별자를 생성하는 프로세스는 단일 마스터 작업입니다. 하나의 도메인 컨트롤러는 RID(상대 식별자) 마스터의 역할을 할당하고 도메인의 각 도메인 컨트롤러에 상대 식별자 시퀀스를 할당합니다. Active Directory의 한 도메인 컨트롤러 복제본에서 새 도메인 계정 또는 그룹을 만들면 SID가 할당됩니다. 새 SID의 상대 식별자는 도메인 컨트롤러의 상대 식별자 할당에서 가져옵니다. 상대 식별자 공급이 낮게 실행되기 시작하면 도메인 컨트롤러는 RID 마스터에서 다른 블록을 요청합니다.

각 도메인 컨트롤러는 상대 식별자 블록의 각 값을 한 번만 사용합니다. RID 마스터는 상대 식별자 값의 각 블록을 한 번만 할당합니다. 이 프로세스는 도메인에서 만든 모든 계정 및 그룹에 고유한 상대 식별자가 있음을 보장합니다.

보안 식별자 및 전역적으로 고유한 식별자

새 도메인 사용자 또는 그룹 계정을 만들 때 Active Directory는 사용자 또는 그룹 개체의 ObjectSID 속성에 계정의 SID를 저장합니다. 또한 새 개체에 엔터프라이즈뿐만 아니라 전 세계에서 고유한 128비트 값인 GUID(Globally Unique Identifier)를 할당합니다. GUID는 사용자 및 그룹 개체뿐만 아니라 Active Directory에서 만든 모든 개체에 할당됩니다. 각 개체의 GUID는 ObjectGUID 속성에 저장됩니다.

Active Directory는 GUID를 내부적으로 사용하여 개체를 식별합니다. 예를 들어 GUID는 글로벌 카탈로그에 게시된 개체의 속성 중 하나입니다. 사용자 개체 GUID에 대한 글로벌 카탈로그를 검색하면 사용자에게 엔터프라이즈 내 계정이 있는 경우 결과가 생성됩니다. 실제로 ObjectGUID 로 개체를 검색하는 것이 찾으려는 개체를 찾는 가장 신뢰할 수 있는 방법일 수 있습니다. 다른 개체 속성의 값은 변경할 수 있지만 ObjectGUID 속성은 변경되지 않습니다. 개체에 GUID가 할당되면 해당 값이 수명 동안 유지됩니다.

사용자가 한 도메인에서 다른 도메인으로 이동하는 경우 사용자는 새 SID를 가져옵니다. 그룹이 만들어진 도메인에 남아 있기 때문에 그룹 개체의 SID는 변경되지 않습니다. 그러나 사용자가 이동하면 계정이 함께 이동할 수 있습니다. 직원이 북아메리카 유럽으로 이동하지만 동일한 회사에 있는 경우 엔터프라이즈 관리자는 Contoso\NoAm과 같은 직원의 User 개체를 Contoso\\Europe으로 이동할 수 있습니다. 관리자가 이 작업을 수행하는 경우 계정에 대한 User 개체에 새 SID가 필요합니다. NoAm에서 발급된 SID의 도메인 식별자 부분은 NoAm에 고유합니다. 따라서 유럽의 사용자 계정에 대한 SID에는 다른 도메인 식별자가 있습니다. SID의 상대 식별자 부분은 도메인을 기준으로 고유합니다. 따라서 도메인이 변경되면 상대 식별자도 변경합니다.

User 개체가 한 도메인에서 다른 도메인으로 이동하면 사용자 계정에 대해 새 SID를 생성하고 ObjectSID 속성에 저장해야 합니다. 새 값이 속성에 기록되기 전에 이전 값이 User 개체 SIDHistory의 다른 속성으로 복사됩니다. 이 속성은 여러 값을 보유할 수 있습니다. User 개체가 다른 도메인으로 이동할 때마다 새 SID가 생성되어 ObjectSID 속성에 저장되고 SIDHistory의 이전 SID 목록에 다른 값이 추가됩니다. 사용자가 로그인하고 성공적으로 인증되면 도메인 인증 서비스는 사용자의 현재 SID, 사용자의 이전 SID 및 사용자 그룹에 대한 SID를 포함하여 사용자와 연결된 모든 SID에 대해 Active Directory를 쿼리합니다. 이러한 모든 SID는 인증 클라이언트에 반환되며 사용자의 액세스 토큰에 포함됩니다. 사용자가 리소스에 액세스하려고 하면 액세스 토큰의 SID 중 하나( SIDHistory의 SID 중 하나 포함)가 사용자 액세스를 허용하거나 거부할 수 있습니다.

사용자가 자신의 작업에 따라 리소스에 대한 액세스를 허용하거나 거부하는 경우 개인이 아닌 그룹에 대한 액세스를 허용하거나 거부해야 합니다. 이렇게 하면 사용자가 작업을 변경하거나 다른 부서로 이동할 때 특정 그룹에서 작업을 제거하고 다른 부서에 추가하여 쉽게 액세스를 조정할 수 있습니다.

그러나 리소스에 대한 개별 사용자 액세스를 허용하거나 거부하는 경우 사용자의 계정 도메인 변경 횟수에 관계없이 해당 사용자의 액세스 권한이 동일하게 유지되도록 할 수 있습니다. SIDHistory 속성을 사용하면 이 작업을 수행할 수 있습니다. 사용자가 도메인을 변경하는 경우 리소스에서 ACL(액세스 제어 목록)을 변경할 필요가 없습니다. ACL에 사용자의 이전 SID가 있지만 새 SID는 없는 경우 이전 SID는 여전히 사용자의 액세스 토큰에 있습니다. 사용자 그룹에 대한 SID에 나열되며 사용자는 이전 SID에 따라 액세스 권한을 부여하거나 거부합니다.

잘 알려진 SID

특정 SID의 값은 모든 시스템에서 일정합니다. 운영 체제 또는 도메인이 설치될 때 만들어집니다. 제네릭 사용자 또는 제네릭 그룹을 식별하기 때문에 잘 알려진 SID라고 합니다.

Windows 이외의 운영 체제를 포함하여 이 보안 모델을 사용하는 모든 보안 시스템에 의미 있는 보편적으로 잘 알려진 SID가 있습니다. 또한 Windows 운영 체제에서만 의미 있는 잘 알려진 SID가 있습니다.

다음 표에서는 범용 잘 알려진 SID를 나열합니다.

유니버설 Well-Known SID 식별
S-1-0-0 Null SID 멤버가 없는 그룹입니다. SID 값을 알 수 없는 경우에 자주 사용됩니다.
S-1-1-0 World 모든 사용자를 포함하는 그룹입니다.
S-1-2-0 로컬 로컬(물리적으로) 시스템에 연결된 터미널에 로그온하는 사용자입니다.
S-1-2-1 콘솔 로그온 물리적 콘솔에 로그온한 사용자를 포함하는 그룹입니다.
S-1-3-0 작성자 소유자 ID 새 개체를 만든 사용자의 보안 식별자로 대체될 보안 식별자입니다. 이 SID는 상속 가능한 ACE에 사용됩니다.
S-1-3-1 작성자 그룹 ID 새 개체를 만든 사용자의 기본 그룹 SID로 대체될 보안 식별자입니다. 상속 가능한 ACE에서 이 SID를 사용합니다.
S-1-3-2 작성자 소유자 서버
S-1-3-3 Creator Group Server
S-1-3-4 소유자 권한 개체의 현재 소유자를 나타내는 그룹입니다. 이 SID를 전달하는 ACE가 개체에 적용되는 경우 시스템은 개체 소유자에 대한 암시적 READ_CONTROL 및 WRITE_DAC 권한을 무시합니다.
S-1-4 고유하지 않은 기관 식별자 기관을 나타내는 SID입니다.
S-1-5 NT 기관 식별자 기관을 나타내는 SID입니다.
S-1-5-80-0 모든 서비스 시스템에 구성된 모든 서비스 프로세스를 포함하는 그룹입니다. 멤버 자격은 운영 체제에 의해 제어됩니다.

다음 표에는 미리 정의된 식별자 기관 상수가 나열됩니다. 처음 네 개의 값은 범용 잘 알려진 SID와 함께 사용되며 나머지 값은 적용 대상 목록에 지정된 Windows 운영 체제에서 잘 알려진 SID와 함께 사용됩니다.

식별자 기관 SID 문자열 접두사
SECURITY_NULL_SID_AUTHORITY 0 S-1-0
SECURITY_WORLD_SID_AUTHORITY 1 S-1-1
SECURITY_LOCAL_SID_AUTHORITY 2 S-1-2
SECURITY_CREATOR_SID_AUTHORITY 3 S-1-3
SECURITY_NT_AUTHORITY 5 S-1-5
SECURITY_AUTHENTICATION_AUTHORITY 18 S-1-18

다음 RID 값은 범용 잘 알려진 SID와 함께 사용됩니다. 식별자 기관 열에는 RID를 결합하여 널리 알려진 SID를 만들 수 있는 식별자 기관의 접두사가 표시됩니다.

상대 식별자 기관 식별자 기관
SECURITY_NULL_RID 0 S-1-0
SECURITY_WORLD_RID 0 S-1-1
SECURITY_LOCAL_RID 0 S-1-2
SECURITY_CREATOR_OWNER_RID 0 S-1-3
SECURITY_CREATOR_GROUP_RID 1 S-1-3

SECURITY_NT_AUTHORITY(S-1-5) 미리 정의된 식별자는 범용이 아니며 이 항목의 시작 부분에 있는 적용 대상 목록에 지정된 Windows 운영 체제의 설치에서만 의미 있는 SID를 생성합니다. 다음 표에서는 잘 알려진 SID를 나열합니다.

SID 표시 이름 설명
S-1-5-1 다이얼업 전화 접속 연결을 통해 시스템에 로그온한 모든 사용자를 포함하는 그룹입니다.
S-1-5-113 로컬 계정 네트워크 로그온을 "관리자" 또는 이와 동등한 계정 대신 로컬 계정으로 제한할 때 이 SID를 사용할 수 있습니다. 이 SID는 실제로 명명된 이름에 관계없이 계정 유형별로 로컬 사용자 및 그룹에 대한 네트워크 로그온을 차단하는 데 효과적일 수 있습니다.
S-1-5-114 로컬 계정 및 관리자 그룹의 구성원 네트워크 로그온을 "관리자" 또는 이와 동등한 계정 대신 로컬 계정으로 제한할 때 이 SID를 사용할 수 있습니다. 이 SID는 실제로 명명된 이름에 관계없이 계정 유형별로 로컬 사용자 및 그룹에 대한 네트워크 로그온을 차단하는 데 효과적일 수 있습니다.
S-1-5-2 네트워크 네트워크 연결을 통해 로그온한 모든 사용자를 포함하는 그룹입니다. 대화형 사용자에 대한 액세스 토큰에는 네트워크 SID가 포함되지 않습니다.
S-1-5-3 일괄 처리 작업 스케줄러 작업과 같은 일괄 처리 큐 기능을 통해 로그온한 모든 사용자를 포함하는 그룹입니다.
S-1-5-4 대화형 대화형으로 로그온하는 모든 사용자를 포함하는 그룹입니다. 사용자는 키보드에서 직접 로그온하거나, 원격 컴퓨터에서 원격 데스크톱 서비스 연결을 열거나, 텔넷과 같은 원격 셸을 사용하여 대화형 로그온 세션을 시작할 수 있습니다. 각 경우에 사용자의 액세스 토큰에는 대화형 SID가 포함됩니다. 사용자가 원격 데스크톱 서비스 연결을 사용하여 로그인하는 경우 사용자의 액세스 토큰에는 원격 대화형 로그온 SID도 포함됩니다.
S-1-5-5- XY-** 로그온 세션 이러한 SID의 XY 값은 특정 로그온 세션을 고유하게 식별합니다.
S-1-5-6 서비스 서비스로 로그인한 모든 보안 주체를 포함하는 그룹입니다.
S-1-5-7 익명 로그온 사용자 이름과 암호를 제공하지 않고 컴퓨터에 연결한 사용자입니다.
익명 로그온 ID는 익명 웹 액세스를 위해 IIS(인터넷 정보 서비스)에서 사용하는 ID와 다릅니다. IIS는 웹 사이트의 리소스에 대한 익명 액세스를 위해 ComputerName과 IUSR_ 실제 계정을 사용합니다. 엄밀히 말하면, 식별되지 않은 사람들이 계정을 사용하더라도 보안 주체가 알려져 있기 때문에 이러한 액세스는 익명이 아닙니다. IUSR_ ComputerName (또는 계정 이름)에는 암호가 있고 IIS는 서비스가 시작될 때 계정에 로그합니다. 따라서 IIS "익명" 사용자는 인증된 사용자의 구성원이지만 익명 로그온은 그렇지 않습니다.
S-1-5-8 Proxy (프록시) 현재 적용되지 않습니다. 이 SID는 사용되지 않습니다.
S-1-5-9 도메인 컨트롤러 Enterprise 도메인 포리스트의 모든 도메인 컨트롤러를 포함하는 그룹입니다.
S-1-5-10 자체 Active Directory의 사용자, 그룹 또는 컴퓨터 개체에 대한 ACE의 자리 표시자입니다. Self에 권한을 부여하면 개체가 나타내는 보안 주체에 권한을 부여합니다. 액세스 확인 중에 운영 체제는 자체용 SID를 개체가 나타내는 보안 주체의 SID로 바꿉니다.
S-1-5-11 인증된 사용자 인증된 ID가 있는 모든 사용자 및 컴퓨터를 포함하는 그룹입니다. 인증된 사용자는 게스트 계정에 암호가 있더라도 게스트를 포함하지 않습니다.
이 그룹에는 현재 도메인뿐만 아니라 신뢰할 수 있는 모든 도메인의 인증된 보안 주체가 포함됩니다.
S-1-5-12 제한된 코드 제한된 보안 컨텍스트에서 실행되는 프로세스에서 사용되는 ID입니다. Windows 및 Windows 서버 운영 체제에서 소프트웨어 제한 정책은 코드에 제한되지 않거나 제한되거나 허용되지 않는 세 가지 보안 수준 중 하나를 할당할 수 있습니다. 코드가 제한된 보안 수준에서 실행되면 제한된 SID가 사용자의 액세스 토큰에 추가됩니다.
S-1-5-13 터미널 서버 사용자 원격 데스크톱 서비스를 사용하도록 설정된 서버에 로그인하는 모든 사용자를 포함하는 그룹입니다.
S-1-5-14 원격 대화형 로그온 원격 데스크톱 연결을 사용하여 컴퓨터에 로그온하는 모든 사용자를 포함하는 그룹입니다. 이 그룹은 대화형 그룹의 하위 집합입니다. 원격 대화형 로그온 SID를 포함하는 액세스 토큰에는 대화형 SID도 포함됩니다.
S-1-5-15 이 조직 동일한 조직의 모든 사용자를 포함하는 그룹입니다. Active Directory 계정에만 포함되고 도메인 컨트롤러에서만 추가됩니다.
S-1-5-17 IUSR 기본 인터넷 정보 서비스(IIS) 사용자가 사용하는 계정입니다.
S-1-5-18 시스템(또는 LocalSystem) LocalSystem으로 로그인하도록 구성된 운영 체제 및 서비스에서 로컬로 사용되는 ID입니다.
시스템은 관리자의 숨겨진 구성원입니다. 즉, System으로 실행되는 모든 프로세스에는 액세스 토큰에 기본 제공 Administrators 그룹에 대한 SID가 있습니다.
시스템이 네트워크 리소스에 액세스할 때 로컬로 실행되는 프로세스는 컴퓨터의 도메인 ID를 사용하여 수행합니다. 원격 컴퓨터의 액세스 토큰에는 로컬 컴퓨터의 도메인 계정에 대한 SID와 컴퓨터가 구성원인 보안 그룹(예: 도메인 컴퓨터 및 인증된 사용자)에 대한 SID가 포함됩니다.
S-1-5-19 NT 기관(LocalService) 컴퓨터에 로컬인 서비스에서 사용되는 ID이며, 광범위한 로컬 액세스가 필요하지 않으며, 인증된 네트워크 액세스가 필요하지 않습니다. LocalService로 실행되는 서비스는 일반 사용자로 로컬 리소스에 액세스하고 익명 사용자로 네트워크 리소스에 액세스합니다. 따라서 LocalService로 실행되는 서비스는 로컬 및 네트워크에서 LocalSystem으로 실행되는 서비스보다 권한이 훨씬 적습니다.
S-1-5-20 네트워크 서비스 광범위한 로컬 액세스가 필요하지 않지만 인증된 네트워크 액세스가 필요한 서비스에서 사용되는 ID입니다. NetworkService로 실행되는 서비스는 일반 사용자로 로컬 리소스에 액세스하고 컴퓨터의 ID를 사용하여 네트워크 리소스에 액세스합니다. 따라서 NetworkService로 실행되는 서비스는 LocalSystem으로 실행되는 서비스와 동일한 네트워크 액세스 권한을 가지지만 로컬 액세스가 크게 감소했습니다.
S-1-5-domain-500** 관리자 시스템 관리자의 사용자 계정입니다. 모든 컴퓨터에는 로컬 관리자 계정이 있고 모든 도메인에는 도메인 관리자 계정이 있습니다.
관리자 계정은 운영 체제를 설치하는 동안 만들어진 첫 번째 계정입니다. 계정을 삭제하거나 사용하지 않도록 설정하거나 잠글 수는 없지만 이름을 바꿀 수 있습니다.
기본적으로 관리자 계정은 Administrators 그룹의 구성원이며 해당 그룹에서 제거할 수 없습니다.
S-1-5-domain-501** 게스트 개별 계정이 없는 사용자를 위한 사용자 계정입니다. 모든 컴퓨터에는 로컬 게스트 계정이 있고 모든 도메인에는 도메인 게스트 계정이 있습니다.
기본적으로 게스트는 모두 및 게스트 그룹의 구성원입니다. 도메인 게스트 계정은 도메인 게스트 및 도메인 사용자 그룹의 구성원이기도 합니다.
익명 로그온과 달리 게스트는 실제 계정이며 대화형으로 로그온하는 데 사용할 수 있습니다. 게스트 계정에는 암호가 필요하지 않지만 암호가 있을 수 있습니다.
S-1-5-domain-502** Krbtgt KDC(키 배포 센터) 서비스에서 사용하는 사용자 계정입니다. 계정은 도메인 컨트롤러에만 존재합니다.
S-1-5-domain-512** 도메인 관리자 도메인을 관리할 권한이 있는 멤버가 있는 전역 그룹입니다. 기본적으로 Domain Admins 그룹은 도메인 컨트롤러를 포함하여 도메인에 가입된 모든 컴퓨터에서 Administrators 그룹의 구성원입니다.
Domain Admins는 그룹의 구성원이 도메인의 Active Directory에 만든 개체의 기본 소유자입니다. 그룹의 구성원이 파일과 같은 다른 개체를 만드는 경우 기본 소유자는 Administrators 그룹입니다.
S-1-5-domain-513** 도메인 사용자 도메인의 모든 사용자를 포함하는 전역 그룹입니다. Active Directory에서 새 User 개체를 만들면 사용자가 이 그룹에 자동으로 추가됩니다.
S-1-5-domain-514** 도메인 게스트 기본적으로 전역 그룹에는 도메인의 기본 제공 게스트 계정이라는 멤버가 하나만 있습니다.
S-1-5-domain-515** 도메인 컴퓨터 도메인 컨트롤러를 제외한 도메인에 가입된 모든 컴퓨터를 포함하는 전역 그룹입니다.
S-1-5-domain-516** 도메인 컨트롤러 도메인의 모든 도메인 컨트롤러를 포함하는 전역 그룹입니다. 새 도메인 컨트롤러가 이 그룹에 자동으로 추가됩니다.
S-1-5-domain-517** 인증서 게시자 엔터프라이즈 인증 기관을 호스트하는 모든 컴퓨터를 포함하는 전역 그룹입니다.
인증서 게시자는 Active Directory에서 사용자 개체에 대한 인증서를 게시할 권한이 있습니다.
S-1-5-root domain-518** 스키마 관리자 포리스트 루트 도메인에만 존재하는 그룹입니다. 도메인이 기본 모드인 경우 범용 그룹이며 도메인이 혼합 모드인 경우 전역 그룹입니다. 스키마 관리자 그룹은 Active Directory에서 스키마를 변경할 권한이 있습니다. 기본적으로 그룹의 유일한 멤버는 포리스트 루트 도메인에 대한 관리자 계정입니다.
S-1-5-root domain-519** Enterprise 관리자 포리스트 루트 도메인에만 존재하는 그룹입니다. 도메인이 기본 모드인 경우 범용 그룹이며 도메인이 혼합 모드인 경우 전역 그룹입니다.
Enterprise Admins 그룹은 자식 도메인 추가, 사이트 구성, DHCP 서버 권한 부여 및 엔터프라이즈 인증 기관 설치와 같은 포리스트 인프라를 변경할 수 있는 권한이 있습니다.
기본적으로 Enterprise Admins의 유일한 멤버는 포리스트 루트 도메인에 대한 관리자 계정입니다. 그룹은 포리스트에 있는 모든 Domain Admins 그룹의 기본 멤버입니다.
S-1-5-domain-520** 그룹 정책 작성자 소유자 Active Directory에서 새 그룹 정책 개체를 만들 수 있는 권한이 있는 전역 그룹입니다. 기본적으로 그룹의 유일한 멤버는 Administrator입니다.
그룹 정책 작성자 소유자의 구성원이 만든 개체는 해당 개체를 만드는 개별 사용자가 소유합니다. 이러한 방식으로 그룹 정책 작성자 소유자 그룹은 다른 관리 그룹(예: 관리자 및 도메인 관리자)과 다릅니다. 이러한 그룹의 멤버가 만든 개체는 개인이 아닌 그룹이 소유합니다.
S-1-5-domain-553** RAS 및 IAS 서버 로컬 도메인 그룹입니다. 기본적으로 이 그룹에는 멤버가 없습니다. 라우팅 및 원격 액세스 서비스를 실행하는 컴퓨터가 그룹에 자동으로 추가됩니다.
이 그룹의 구성원은 계정 읽기 제한, 로그온 정보 읽기 및 원격 액세스 정보 읽기와 같은 사용자 개체의 특정 속성에 액세스할 수 있습니다.
S-1-5-32-544 관리자 기본 제공 그룹입니다. 운영 체제를 처음 설치한 후 그룹의 유일한 멤버는 관리자 계정입니다. 컴퓨터가 도메인에 가입하면 Domain Admins 그룹이 Administrators 그룹에 추가됩니다. 서버가 도메인 컨트롤러가 되면 Enterprise Admins 그룹도 Administrators 그룹에 추가됩니다.
S-1-5-32-545 사용자 기본 제공 그룹입니다. 운영 체제의 초기 설치 후 유일한 멤버는 인증된 사용자 그룹입니다.
S-1-5-32-546 게스트 기본 제공 그룹입니다. 기본적으로 유일한 멤버는 게스트 계정입니다. 게스트 그룹을 사용하면 가끔 또는 한 번 사용자가 컴퓨터의 기본 제공 게스트 계정에 제한된 권한으로 로그온할 수 있습니다.
S-1-5-32-547 전원 사용자 기본 제공 그룹입니다. 기본적으로 그룹에는 멤버가 없습니다. 전원 사용자는 로컬 사용자 및 그룹을 만들 수 있습니다. 만든 계정을 수정하고 삭제합니다. 및 Power Users, Users 및 Guests 그룹에서 사용자를 제거합니다. 전원 사용자는 프로그램을 설치할 수도 있습니다. 로컬 프린터 만들기, 관리 및 삭제 파일 공유를 만들고 삭제합니다.
S-1-5-32-548 계정 연산자 도메인 컨트롤러에만 존재하는 기본 제공 그룹입니다. 기본적으로 그룹에는 멤버가 없습니다. 기본적으로 계정 운영자는 기본 제공 컨테이너 및 도메인 컨트롤러 OU를 제외한 Active Directory의 모든 컨테이너 및 조직 단위에 있는 사용자, 그룹 및 컴퓨터에 대한 계정을 만들고, 수정하고, 삭제할 수 있는 권한이 있습니다. 계정 운영자는 관리자 및 도메인 관리자 그룹을 수정할 수 있는 권한이 없으며 해당 그룹의 구성원에 대한 계정을 수정할 수 있는 권한이 없습니다.
S-1-5-32-549 서버 연산자 설명: 도메인 컨트롤러에만 존재하는 기본 제공 그룹입니다. 기본적으로 그룹에는 멤버가 없습니다. 서버 운영자는 대화형으로 서버에 로그온할 수 있습니다. 네트워크 공유 만들기 및 삭제 서비스 시작 및 중지; 파일을 백업 및 복원합니다. 컴퓨터의 하드 디스크 서식을 지정합니다. 컴퓨터를 종료합니다.
S-1-5-32-550 인쇄 연산자 도메인 컨트롤러에만 존재하는 기본 제공 그룹입니다. 기본적으로 유일한 멤버는 도메인 사용자 그룹입니다. 인쇄 연산자는 프린터 및 문서 큐를 관리할 수 있습니다.
S-1-5-32-551 백업 연산자 기본 제공 그룹입니다. 기본적으로 그룹에는 멤버가 없습니다. 백업 연산자는 해당 파일을 보호하는 권한에 관계없이 컴퓨터의 모든 파일을 백업하고 복원할 수 있습니다. 백업 운영자는 컴퓨터에 로그온하여 종료할 수도 있습니다.
S-1-5-32-552 복제기 도메인 컨트롤러의 파일 복제 서비스에서 사용하는 기본 제공 그룹입니다. 기본적으로 그룹에는 멤버가 없습니다. 이 그룹에 사용자를 추가하지 마세요.
S-1-5-32-554 Builtin\pre-Windows 2000 호환 액세스 Windows 2000에서 추가한 별칭입니다. 도메인의 모든 사용자 및 그룹에 대한 읽기 액세스를 허용하는 이전 버전과의 호환성 그룹입니다.
S-1-5-32-555 Builtin\Remote Desktop 사용자 별칭입니다. 이 그룹의 구성원에게 원격으로 로그온할 수 있는 권한이 부여됩니다.
S-1-5-32-556 Builtin\Network 구성 연산자 별칭입니다. 이 그룹의 구성원은 네트워킹 기능의 구성을 관리하는 몇 가지 관리 권한을 가질 수 있습니다.
S-1-5-32-557 Builtin\Incoming Forest Trust Builders 별칭입니다. 이 그룹의 멤버는 이 포리스트에 들어오는 단방향 트러스트를 만들 수 있습니다.
S-1-5-32-558 Builtin\성능 모니터 Users 별칭입니다. 이 그룹의 구성원은 이 컴퓨터를 모니터링할 수 있는 원격 액세스 권한이 있습니다.
S-1-5-32-559 Builtin\Performance Log Users 별칭입니다. 이 그룹의 구성원은 이 컴퓨터에서 성능 카운터의 로깅을 예약할 수 있는 원격 액세스 권한이 있습니다.
S-1-5-32-560 Builtin\Windows 권한 부여 액세스 그룹 별칭입니다. 이 그룹의 멤버는 사용자 개체의 계산된 tokenGroupsGlobalAndUniversal 특성에 액세스할 수 있습니다.
S-1-5-32-561 Builtin\Terminal Server 라이선스 서버 별칭입니다. 터미널 서버 라이선스 서버에 대한 그룹입니다. Windows Server 2003 서비스 팩 1이 설치되면 새 로컬 그룹이 만들어집니다.
S-1-5-32-562 Builtin\Distributed COM 사용자 별칭입니다. 컴퓨터의 모든 호출, 활성화 또는 시작 요청에 대한 액세스를 제어하는 컴퓨터 전체 액세스 제어를 제공하는 COM 그룹입니다.
S-1-5-32-568 Builtin\IIS_IUSRS 별칭입니다. IIS 사용자를 위한 기본 제공 그룹 계정입니다.
S-1-5-32-569 Builtin\Cryptographic Operators 기본 제공 로컬 그룹입니다. 멤버는 암호화 작업을 수행할 권한이 있습니다.
S-1-5-32-573 Builtin\이벤트 로그 판독기 기본 제공 로컬 그룹입니다. 이 그룹의 구성원은 로컬 컴퓨터에서 이벤트 로그를 읽을 수 있습니다.
S-1-5-32-574 Builtin\Certificate Service DCOM 액세스 기본 제공 로컬 그룹입니다. 이 그룹의 구성원은 엔터프라이즈의 인증 기관에 연결할 수 있습니다.
S-1-5-32-575 Builtin\RDS 원격 액세스 서버 기본 제공 로컬 그룹입니다. 이 그룹의 서버를 사용하면 RemoteApp 프로그램 및 개인 가상 데스크톱 사용자가 이러한 리소스에 액세스할 수 있습니다. 인터넷 연결 배포에서 이러한 서버는 일반적으로 에지 네트워크에 배포됩니다. 이 그룹은 RD 연결 브로커를 실행하는 서버에 채워야 합니다. 배포에 사용되는 RD 게이트웨이 서버 및 RD 웹 액세스 서버는 이 그룹에 있어야 합니다.
S-1-5-32-576 Builtin\RDS 엔드포인트 서버 기본 제공 로컬 그룹입니다. 이 그룹의 서버는 사용자 RemoteApp 프로그램 및 개인 가상 데스크톱이 실행되는 가상 머신 및 호스트 세션을 실행합니다. 이 그룹은 RD 연결 브로커를 실행하는 서버에 채워야 합니다. 배포에 사용되는 RD 세션 호스트 서버 및 RD 가상화 호스트 서버는 이 그룹에 있어야 합니다.
S-1-5-32-577 Builtin\RDS 관리 서버 기본 제공 로컬 그룹입니다. 이 그룹의 서버는 원격 데스크톱 서비스를 실행하는 서버에서 일상적인 관리 작업을 수행할 수 있습니다. 이 그룹은 원격 데스크톱 서비스 배포의 모든 서버에 채워져야 합니다. RDS 중앙 관리 서비스를 실행하는 서버는 이 그룹에 포함되어야 합니다.
S-1-5-32-578 Builtin\Hyper-V 관리자 기본 제공 로컬 그룹입니다. 이 그룹의 구성원은 Hyper-V의 모든 기능에 완전하고 무제한으로 액세스할 수 있습니다.
S-1-5-32-579 Builtin\Access Control 지원 연산자 기본 제공 로컬 그룹입니다. 이 그룹의 구성원은 이 컴퓨터의 리소스에 대한 권한 부여 특성 및 권한을 원격으로 쿼리할 수 있습니다.
S-1-5-32-580 Builtin\Remote Management Users 기본 제공 로컬 그룹입니다. 이 그룹의 구성원은 관리 프로토콜(예: Windows 원격 관리 서비스를 통한 WS-Management)을 통해 WMI 리소스에 액세스할 수 있습니다. 이는 사용자에게 액세스 권한을 부여하는 WMI 네임스페이스에만 적용됩니다.
S-1-5-64-10 NTLM 인증 NTLM 인증 패키지가 클라이언트를 인증할 때 사용되는 SID
S-1-5-64-14 SChannel 인증 SChannel 인증 패키지가 클라이언트를 인증할 때 사용되는 SID입니다.
S-1-5-64-21 다이제스트 인증 다이제스트 인증 패키지가 클라이언트를 인증할 때 사용되는 SID입니다.
S-1-5-80 NT 서비스 NT 서비스 계정 접두사로 사용되는 SID입니다.
S-1-5-80-0 모든 서비스 시스템에 구성된 모든 서비스 프로세스를 포함하는 그룹입니다. 멤버 자격은 운영 체제에 의해 제어됩니다. SID S-1-5-80-0은 NT SERVICES\ALL SERVICES와 같습니다. 이 SID는 Windows Server 2008 R2에서 도입되었습니다.
S-1-5-83-0 NT VIRTUAL MACHINE\Virtual Machines 기본 제공 그룹입니다. 그룹은 Hyper-V 역할이 설치될 때 만들어집니다. 그룹의 멤버 자격은 VMMS(Hyper-V 관리 서비스)에서 유지 관리됩니다. 이 그룹에는 바로 가기 링크 만들기 권한(SeCreateSymbolicLinkPrivilege) 및 서비스 권한으로 로그온 (SeServiceLogonRight)이 필요합니다.

다음 RID는 각 도메인을 기준으로 합니다.

RID 10진수 값 식별
DOMAIN_USER_RID_ADMIN 500 도메인의 관리 사용자 계정입니다.
DOMAIN_USER_RID_GUEST 501 도메인의 게스트 사용자 계정입니다. 계정이 없는 사용자는 이 계정에 자동으로 로그인할 수 있습니다.
DOMAIN_GROUP_RID_USERS 513 도메인의 모든 사용자 계정을 포함하는 그룹입니다. 모든 사용자가 이 그룹에 자동으로 추가됩니다.
DOMAIN_GROUP_RID_GUESTS 514 도메인의 그룹 게스트 계정입니다.
DOMAIN_GROUP_RID_COMPUTERS 515 도메인 컴퓨터 그룹입니다. 도메인의 모든 컴퓨터는 이 그룹의 구성원입니다.
DOMAIN_GROUP_RID_CONTROLLERS 516 도메인 컨트롤러 그룹입니다. 도메인의 모든 도메인 컨트롤러는 이 그룹의 구성원입니다.
DOMAIN_GROUP_RID_CERT_ADMINS 517 인증서 게시자 그룹입니다. Active Directory 인증서 서비스를 실행하는 컴퓨터는 이 그룹의 구성원입니다.
DOMAIN_GROUP_RID_SCHEMA_ADMINS 518 스키마 관리자 그룹입니다. 이 그룹의 멤버는 Active Directory 스키마를 수정할 수 있습니다.
DOMAIN_GROUP_RID_ENTERPRISE_ADMINS 519 엔터프라이즈 관리자 그룹입니다. 이 그룹의 멤버는 Active Directory 포리스트의 모든 도메인에 대한 모든 액세스 권한을 갖습니다. Enterprise 관리자는 새 도메인 추가 또는 제거와 같은 포리스트 수준 작업을 담당합니다.
DOMAIN_GROUP_RID_POLICY_ADMINS 520 정책 관리자 그룹입니다.

다음 표에서는 로컬 그룹에 대해 잘 알려진 SID를 형성하는 데 사용되는 도메인 상대 RID의 예를 제공합니다.

RID 10진수 값 식별
DOMAIN_ALIAS_RID_ADMINS 544 도메인의 관리자입니다.
DOMAIN_ALIAS_RID_USERS 545 도메인의 모든 사용자입니다.
DOMAIN_ALIAS_RID_GUESTS 546 도메인의 게스트입니다.
DOMAIN_ALIAS_RID_POWER_USERS 547 시스템을 여러 사용자에 대한 워크스테이션이 아닌 개인용 컴퓨터인 것처럼 취급하려는 사용자 또는 사용자 집합입니다.
DOMAIN_ALIAS_RID_BACKUP_OPS 551 파일 백업 및 복원 사용자 권한의 할당을 제어하는 데 사용되는 로컬 그룹입니다.
DOMAIN_ALIAS_RID_REPLICATOR 552 주 도메인 컨트롤러에서 백업 도메인 컨트롤러로 보안 데이터베이스를 복사하는 로컬 그룹입니다. 이러한 계정은 시스템에서만 사용됩니다.
DOMAIN_ALIAS_RID_RAS_SERVERS 553 IAS(인터넷 인증 서비스)를 실행하는 원격 액세스 및 서버를 나타내는 로컬 그룹입니다. 이 그룹은 사용자 개체의 다양한 특성에 대한 액세스를 허용합니다.

보안 식별자의 기능 변경

다음 표에서는 목록에 지정된 Windows 운영 체제에서 SID 구현의 변경 내용을 설명합니다.

변경 운영 체제 버전 설명 및 리소스
대부분의 운영 체제 파일은 TrustedInstaller SID(보안 식별자)가 소유합니다. Windows Server 2008, Windows Vista 이 변경의 목적은 관리자 또는 LocalSystem 계정에서 실행되는 프로세스가 운영 체제 파일을 자동으로 대체하지 못하도록 하는 것입니다.
제한된 SID 검사가 구현됨 Windows Server 2008, Windows Vista SID를 제한하는 경우 Windows 두 가지 액세스 검사를 수행합니다. 첫 번째는 일반 액세스 검사이고, 두 번째는 토큰의 제한 SID에 대해 동일한 액세스 검사입니다. 프로세스에서 개체에 액세스할 수 있도록 두 액세스 검사를 모두 통과해야 합니다.

기능 SID

기능 SID(보안 식별자)는 기능을 고유하고 불변하게 식별하는 데 사용됩니다. 기능은 유니버설 Windows 애플리케이션에 대한 리소스(예: 문서, 카메라, 위치 등)에 대한 액세스 권한을 부여하는 권한의 잊을 수 없는 토큰을 나타냅니다. 기능이 연결된 리소스에 대한 액세스 권한이 "있는" 앱과 기능이 "없는" 앱은 리소스에 대한 액세스가 거부됩니다.

운영 체제에서 인식하는 모든 기능 SID는 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities' 경로의 Windows 레지스트리에 저장됩니다. 자사 또는 타사 애플리케이션에서 Windows 추가된 모든 기능 SID가 이 위치에 추가됩니다.

Windows 10 버전 1909, 64비트 Enterprise 버전에서 가져온 레지스트리 키의 예

AllCachedCapabilities 아래에 다음 레지스트리 키가 표시될 수 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows

모든 기능 SID에는 S-1-15-3 접두사로 제공됩니다.

Windows 11 버전 21H2, 64비트 Enterprise 버전에서 가져온 레지스트리 키의 예

AllCachedCapabilities 아래에 다음 레지스트리 키가 표시될 수 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows

모든 기능 SID에는 S-1-15-3 접두사로 제공됩니다.

참고 항목